Upload
leduong
View
216
Download
0
Embed Size (px)
Citation preview
Infrastructure à Clé Publique(PKI Public Key Infrastructure)
Didier DONSEZUniversité Joseph FourierIMA –IMAG/LSR/[email protected]
������������ ��� �������� ��
01/06/2002
Did
ier
Don
sez,
200
1-20
02,P
KI
2
Rappel sur la certification
� Besion de confiance sur ce que pretend être le correspondant
� Solution� ���������� ��������������������������������������
��� ������ ������������������������������������� ������� ��
����� ������������
01/06/2002
Did
ier
Don
sez,
200
1-20
02,P
KI
3
Quelques termes
� Certification Authority (CA)� ���������� �������������������������� �����������������
� Registration Authority (RA)� ���������� ������������������������������������ ������ ��������������
� Certificate Revocation List (CRL)� ���� ��������������������
� �����������������!������������ ��������������"���������������� ��������#�"�$
� Certificate Repository� ���������������������� ����������� ������������������������������������ ���������
� Certificate User� ���������� ���������������������������������%������������������ ��������������
01/06/2002
Did
ier
Don
sez,
200
1-20
02,P
KI
4
Motivation
� Usage� &�'��
� ''
� '()&)*�+�,�-
� � ��'������+.���"�.���'����"�������/"�$-
� 0� '������$
� Formats et Types de certificat� /123���&/
� �,�
� '��&('4'&
01/06/2002
Did
ier
Don
sez,
200
1-20
02,P
KI
5
Que contient un Certificat ?
� Numéro de Série� Identité du porteur (owner)� Identité du certifieur émetteur (issuer)� Période de validité� Classe du certificat� Clé Publique du porteur
� �����5����������"�������� �������"�$
� Signature� �����5����������"�������� �������"�$�
� Auto-Certification� ���������������������������+���� ��6���-
01/06/2002
Did
ier
Don
sez,
200
1-20
02,P
KI
6
Gestion des certificats
� Génération� ��'
� 7����5��� ����
� �����������������
� Publication� �������� 4���+��������
� Vérification� �5�%��� ������������
� Renouvellement� Suspension� Révocation
� ���������������"�*���#����������"�$
� �6 �8�������� ���������
01/06/2002
Did
ier
Don
sez,
200
1-20
02,P
KI
7
CSP (Certification Practices Statement)
� Procédure d’établissement de l’identité du porteur� ������9�� ����� ���� ��"�$
� Dépend de la classe de certificat
01/06/2002
Did
ier
Don
sez,
200
1-20
02,P
KI
8
Hiérarchie de CA
� Délégation de la certification
01/06/2002
Did
ier
Don
sez,
200
1-20
02,P
KI
9
Chaîne de Certificats et Vérification
01/06/2002
Did
ier
Don
sez,
200
1-20
02,P
KI
10
Chaîne de Certificats et Vérification
Vérification impossible si le RootCAn’est pas joignable :
Pb de la tolérance aux pannes
01/06/2002
Did
ier
Don
sez,
200
1-20
02,P
KI
11
Cross-Certification
� CAs (Sub ou Root) qui se font mutuellement confiance dans leur domaine de confiance
MIT MIT
ABC Co. ABC Co.
MarketingMarketingResearchResearch
XYZ Co. XYZ Co.
LondonLondon NYCNYCH.R.H.R.
CorporateCorporateSalesSales
LCSLCS
Sloan Sloan
01/06/2002
Did
ier
Don
sez,
200
1-20
02,P
KI
12
Génération de la paire de clé
� Par le client� ������������%����������#
� ����� ��������"�4����� ��������#�
:������������������������������;����5�����
� ��<�<��������� ��������� �������������������������������� �������������������� �������������������
� Par le CA� ,��������������=�� ������������������������������� ���������� ������
� ��5������+����� ���-� ��������������
� 7�������� ��������� ������
� >��������������� ���������� ��������������������
01/06/2002
Did
ier
Don
sez,
200
1-20
02,P
KI
13
Certifying Authority
� Public� )#�����������������?<-
� @����"�>5�A��"�*�����"�B�������$
� *��0�����8� ��������+�������"������5������ ��������"�'�,*)-
� ��������+@������"�)���"�0����>�����"�,������-
� Privé� )��������8������������������������������ ������������������������#���������������������� ����������5��������������
� ������������������)����������'���+ �����������������- "�:����� +AAA��������-"�&4/<��&�+� C<�D��� ���C��-
01/06/2002
Did
ier
Don
sez,
200
1-20
02,P
KI
14
Certificats
� X509� E��������5��#5����5���
� ���<�����������
� &4�F�/122�4E�+�������������������-
� �'��+���������������������'��������-
� PGP� G H����>���I�F�������������5����������������+����������C�������-
� ������������������!��������������������� ��������� ������+D�#7� �-
� &4�F�� ����������+�������������4E'�����������!����������������-
� SPKI/SDSI� '������E���������5��#
� &4�F� ����+�������"��������������������������������-
� ���� ���'��+������������-
� SPKI without name (anonymat)� ���5�J��������5��#�5����5���"��������D<�<�����9����
� &4�F��������D�#���5��5� �����+���������������������-
� SPKI/SDSI k-of-n Subject� ������ ������9����+��K���-
� @������������������������������� ��D��5������+� � ����-
01/06/2002
Did
ier
Don
sez,
200
1-20
02,P
KI
15
Key Recovery
� M of N� E������������������������������� ��������
� &������������������)���������������������������
01/06/2002
Did
ier
Don
sez,
200
1-20
02,P
KI
16
Oliver Rose
Sally
EdMonica
Bob
Ray
Tom
PGP : Web of Trust
� La confiance sur l’identité est établie par plusieurs utilisateurs reconnus de confiance� ������ ����������������5����
01/06/2002
Did
ier
Don
sez,
200
1-20
02,P
KI
17
SPKI (Simple PKI) etSDSI (Simple Distributed Security Infrastructure)
� Motivation� '��������������&
� &*>0�60��LM3L
� Doc� 5���8((AAA��#��������(��D�(
� 5���8((�5�#���������� �(N�����(� ��OO�5���
01/06/2002
Did
ier
Don
sez,
200
1-20
02,P
KI
19
Standards PKCS« Public-Key Cryptography Standards »
� ensemble de standards pour la mise en place des IGC, coordonné par RSA
� définissent les formats des éléments de cryptographie :� *���������������������������������'E�O
� ���'�PO86'��#�����5#'��� � �
� &���������'�PL�������'�PQ
� ���'�PR84�����<7������ ��#����������'��� � �
� ���'�P18����A <B��� ��#�����5#�'��� �
� ���'�PM8*C��� � <�����������'#���C
� ���'�PS8�#�����5��)������'#���C
� ���'�PT8������<��#�&������� '#���C
� ���'�P38'������ ���������>#�����'��� �
� ���'�PO28����������� 6�������'#���C�'��� �
� ���'�POO8�#�����5���>D�� &���������'��� �
� ���'�POL8������&��������*C�5����'#���C'��� � �
� ���'�POR8*��������������#�����5#'��� � �
� ���'�PO18�#�����5���>D�� &��������0����'��� �
� Voir http://www.rsa.com/rsalabs/pkcs/
01/06/2002
Did
ier
Don
sez,
200
1-20
02,P
KI
20
Trusted Web Services
� Motivation� ,������ �����&���� �����5��������������� ������������
/) �������������':���
� *���������� �������������#���C���'E�O
� Standards� /�)'�/) ���#�)����������'�����������
� 5���8((AAA�C�������������(CD��
� B������
/) �4�������'��������5���8((AAA�AR��(>6(C�� ���<��(
/) �4�������*��#�����5���8((AAA�AR��(>6(C�����<��(
01/06/2002
Did
ier
Don
sez,
200
1-20
02,P
KI
21
XKMS - XML Key Management System
� Motivation� 6������ ���������������������&�+��&/"��� �)����������'������"�:�'�"�����-���� ��� ��������/) �������������':���
� Définit les messages de requête et de réponse pour� 6������+������-�������������
� 6��������+���A-�������������
� @��� ��+���� ���-�������������+�C������"��6 "�:�'�"�����-
� 6������+��D�-�������������+�6 -
� Basé sur XML Signature & XML Encryption� W3C
� &������
� /�)'�/) ���#�)���������'�����������
� 5���8((AAA�C�������������(CD��
� ��&�.���
� .'6�O2Q�/) �>����'��������&�
01/06/2002
Did
ier
Don
sez,
200
1-20
02,P
KI
23
XKMSExemple de message de révocation
� ��� �� � ��� �� ��� ��� �� �� �� � �� � � ��� �� �� �
�� � � � �� ��! " # $% " � �
�& �� ���
�' ���� � ��
���� ��( ) ����� ) ��*��� ��( ) ��
�� �� �� ��� � ��+ � �� + ��� � ���*� �� �� �
��,� �� �����- - �*�,� �� �����
�*' ���� � ��
���� �����
���� ��������
�' ����. �' �� ���/& ( �0( 1 �2�*' ����. �' �� ���
�*��� ��������
�*��� �����
�& �� ����
�� �1 �� �� 3 ) � ��*� �1 �
�*& �� ����
�*& �� ���
01/06/2002
Did
ier
Don
sez,
200
1-20
02,P
KI
24
XKMSExtension
� X-KRSS et CMS
� X-BULK (Baltimore)� ������� ����������� ���������'&)"� ���� ���������"�$
� )���������8�����5�
01/06/2002
Did
ier
Don
sez,
200
1-20
02,P
KI
25
Java et PKI
� API Java� .�����#�����5#�*C�������+.�*-
� �������.�*
� .����'�����'�D���*C�������+.''*-
� '' (> '
� API Java for XML� .'6�O2Q�/) �>����'��������&�
� .'6�O21�/) �4�������'����������&����� � � � �� � �� � �� � ��� � �� �
� .'6�O2M�/) �4������*��#������&�
01/06/2002
Did
ier
Don
sez,
200
1-20
02,P
KI
26
Carte à puce PKI et CMS
� Cartes PKI� ������������������� �����������#�����5�����
� +�����������������������-
� ������ � ����8�,��'���" �#��'���"�$
� �� �����������&���� ���.����� ��������������������D�����javacard.security.* javacardx.crypto.*
� OCF� ��&�� '�����
� CMS (Card Management Services)� &��������������������
� *C���������/�)'�+*�����-
01/06/2002
Did
ier
Don
sez,
200
1-20
02,P
KI
27
ISAKMP
� ISAKMP « Internet Security Association and Key Management Protocol »� E���������������������5����������������
� U�5����� ���������������5�����������
� ������ ���5����:�D��#��
� V� ����������������&�*�G��������������������� I
01/06/2002
Did
ier
Don
sez,
200
1-20
02,P
KI
28
Outil : OpenSLL
� Génération de la paire de clé et d’un certificat� � � � � � ��� � � �� � � � � � �� � � �� � ��� � �
� � � � � � ���� � �� � �!� � � �� � �� � ��� � � ��� �� � �� � �� � �
� � � � � � ���� � �� " � # �!� � � �� � �� � ��� � � ��� �� � �� � �� � ���� �� � �� � �� �
� Directives pour mod_ssl d’Apache$ $ % & � � �'� � � ( ��� �) � �)�� � �)� � � * � ) � � ')� � �� � )� � �� � �� �
$ $ % & � � �'� � � + � � ( ��� �) � �)�� � �)� � � * � ) � � ')� � ��� � � )� � �� � ��� � �
01/06/2002
Did
ier
Don
sez,
200
1-20
02,P
KI
29
Outil : GnuPGP
� Génération, Signature, Chiffrage� � � ��� � � !� � �
01/06/2002
Did
ier
Don
sez,
200
1-20
02,P
KI
30
Import de Certificats dans les NavigateursMS Internet Explorer
01/06/2002
Did
ier
Don
sez,
200
1-20
02,P
KI
31
Import de Certificats dans les NavigateursNetscape Communicator (4.x)
01/06/2002
Did
ier
Don
sez,
200
1-20
02,P
KI
32
Import de Certificats dans les NavigateursNokia Mobile Internet Toolkit (WIM)
01/06/2002
Did
ier
Don
sez,
200
1-20
02,P
KI
33
Bibliographie
� PKI : Public Key Infrastructure� 5���8((AAA�����������( ������( ��(�������(������#(�D��5���
� 5���8(( �������������( ��(�������(������#�5���
� 5���8((AAA�����������(������(A�(�� �C�5���
� 5���8((AAA��5�A�����(
� 5����8((AAA����������( ������(9���(�����5��
01/06/2002
Did
ier
Don
sez,
200
1-20
02,P
KI
34
Bibliographie
� http://csrc.nist.gov/pki/documents/welcome.html
� http://www.itu.int/
� http://www.itu.int/search/wais/Macbeth/#HowtoSearch� http://www.mtic.pm.gouv.fr/dossiers/documents/lat/annuaires.shtml
� http://www.ietf.org/rfc/rfc2251.txt
� http://www.certplus.com/� http://www.matranet.com/products/index.html
� http://www.ii.atos-group.com/francais/
� http://www.gemplus.com/french/index.htm� http://www.certificat.com/
� http://www.scssi.gouv.fr/
� http://www.mtic.pm.gouv.fr/dossiers/documents/MTIC_certification_et_icp.pdf� http://www.counterpane.com/pki-risks.html